T.C. Sección del Tribunal Constitucional. TRIBUNAL CONSTITUCIONAL. Sentencias. (BOE-A-2023-14928)
Pleno. Sentencia 60/2023, de 24 de mayo de 2023. Recurso de inconstitucionalidad 762-2020. Interpuesto por el Parlamento de Cataluña en relación con diversos preceptos del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Límites materiales de los decretos leyes: pérdida parcial de objeto del proceso, concurrencia del presupuesto habilitante de la extraordinaria y urgente necesidad y prohibición de tecnologías de registro distribuido en los sistemas de identificación y firma que no vulnera la competencia autonómica de autoorganización (STC 10/2023).
14 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Sábado 24 de junio de 2023
Sec. TC. Pág. 89164
B) A continuación, aborda las vulneraciones imputables a diversos preceptos,
comenzando por los arts. 3.1 y 3.2 y, en relación con ellos, la disposición transitoria
primera del Real Decreto-ley 14/2019. Señala que con ellos se incorporan normas
europeas por las que se establece un marco común para los medios de identificación
electrónica, los servicios de confianza para las transacciones electrónicas y las firmas,
sellos, documentos y servicios de entrega electrónica.
a) Los arts. 3.1 y 3.2 introducen un requisito de autorización estatal previa para las
firmas y sellos electrónicos que no está amparado por el art. 149.1.18 CE, limitando
las competencias sobre autoorganización y organización de los servicios que tiene
reconocidas la Generalitat de Cataluña en los arts. 150 y 159 del Estatuto de Autonomía
de Cataluña (EAC). Como subraya el Consejo de Garantías Estatutarias en su
dictamen 6/2019, dicha autorización constituye una tutela o control sobre la
administración electrónica carente de cobertura constitucional, pues el Estado de las
Autonomías no prevé una institución general de control del primero sobre las segundas
(cita las SSTC 118/1996, de 27 de junio, y 33/2018, de 12 de abril). Los citados
preceptos hacen depender la decisión de la Generalitat de una autorización de la
Administración General del Estado que no tiene competencias sobre la autorización de
los sistemas de identificación ante la administración catalana. Además, la autorización no
viene predeterminada en cuanto a su contenido y motivación y tiene unas consecuencias
inadecuadas, pues, en caso de silencio, se entiende que la respuesta es desestimatoria.
En suma, dicha autorización es un control ilegítimo que no está amparado ni en las
competencias estatales sobre procedimiento administrativo común (art. 149.1.18 CE), ni
sobre seguridad pública (art. 149.1.29 CE).
La letrada del Parlamento de Cataluña subraya que los citados arts. 3.1 y 3.2 del
Real Decreto-ley 14/2019 establecen que los recursos técnicos para la recogida,
tratamiento y gestión de los sistemas en el caso de ciertos datos deben hallarse situados
en territorio español y estar disponibles para las autoridades judiciales y administrativas
competentes. Considera que esta medida es totalmente contraria al Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección
de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE [Reglamento
general de protección de datos (RGPD)]. Dicho reglamento aspira a garantizar un nivel
coherente de protección de las personas físicas en toda la Unión y evitar divergencias
que dificulten la libre circulación de datos personales. Pues bien, la citada obligación de
ubicar en territorio español las bases de datos es un obstáculo para el mercado interior
que carece de justificación. El Reglamento general de protección de datos permite a los
Estados miembros otorgar un nivel mayor de protección, pero no disminuirlo, y en ningún
caso es aceptable que se restrinja la propia existencia del mercado interior, como aquí
sucede.
b) Por otra parte, el art. 3.3 del real decreto-ley incorpora una nueva disposición
adicional sexta a la Ley 39/2015, de 1 de octubre, de procedimiento administrativo
común de las administraciones públicas (LPACAP), por la que se impide el uso de
sistemas de identificación basados en tecnologías de registro distribuido, en tanto no
sean objeto de regulación específica por el Estado, en el marco del Derecho de la Unión
Europea. La norma añade que, en todo caso, cualquiera que sea el sistema de
identificación basado en tecnología de registro distribuido que prevea la legislación,
deberá garantizar que la Administración General del Estado actúe como autoridad
intermedia, ejerciendo las funciones que corresponda para garantizar la seguridad
pública. Ambas limitaciones se consideran inconstitucionales, por desplazar totalmente la
competencia de la Generalitat prevista en los arts. 150 y 159 EAC.
La demanda invoca el dictamen del Consejo de Garantías Estatutarias, según el cual
el art. 3.3 supone un desapoderamiento preventivo del uso de este tipo de tecnología,
por parte de las administraciones públicas competentes, para definir sus propios
sistemas de identificación con los usuarios de sus servicios. El precepto impugnado se
aparta de la voluntad neutral y más aperturista del Reglamento (UE) 910/2014, del
cve: BOE-A-2023-14928
Verificable en https://www.boe.es
Núm. 150
Sábado 24 de junio de 2023
Sec. TC. Pág. 89164
B) A continuación, aborda las vulneraciones imputables a diversos preceptos,
comenzando por los arts. 3.1 y 3.2 y, en relación con ellos, la disposición transitoria
primera del Real Decreto-ley 14/2019. Señala que con ellos se incorporan normas
europeas por las que se establece un marco común para los medios de identificación
electrónica, los servicios de confianza para las transacciones electrónicas y las firmas,
sellos, documentos y servicios de entrega electrónica.
a) Los arts. 3.1 y 3.2 introducen un requisito de autorización estatal previa para las
firmas y sellos electrónicos que no está amparado por el art. 149.1.18 CE, limitando
las competencias sobre autoorganización y organización de los servicios que tiene
reconocidas la Generalitat de Cataluña en los arts. 150 y 159 del Estatuto de Autonomía
de Cataluña (EAC). Como subraya el Consejo de Garantías Estatutarias en su
dictamen 6/2019, dicha autorización constituye una tutela o control sobre la
administración electrónica carente de cobertura constitucional, pues el Estado de las
Autonomías no prevé una institución general de control del primero sobre las segundas
(cita las SSTC 118/1996, de 27 de junio, y 33/2018, de 12 de abril). Los citados
preceptos hacen depender la decisión de la Generalitat de una autorización de la
Administración General del Estado que no tiene competencias sobre la autorización de
los sistemas de identificación ante la administración catalana. Además, la autorización no
viene predeterminada en cuanto a su contenido y motivación y tiene unas consecuencias
inadecuadas, pues, en caso de silencio, se entiende que la respuesta es desestimatoria.
En suma, dicha autorización es un control ilegítimo que no está amparado ni en las
competencias estatales sobre procedimiento administrativo común (art. 149.1.18 CE), ni
sobre seguridad pública (art. 149.1.29 CE).
La letrada del Parlamento de Cataluña subraya que los citados arts. 3.1 y 3.2 del
Real Decreto-ley 14/2019 establecen que los recursos técnicos para la recogida,
tratamiento y gestión de los sistemas en el caso de ciertos datos deben hallarse situados
en territorio español y estar disponibles para las autoridades judiciales y administrativas
competentes. Considera que esta medida es totalmente contraria al Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección
de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE [Reglamento
general de protección de datos (RGPD)]. Dicho reglamento aspira a garantizar un nivel
coherente de protección de las personas físicas en toda la Unión y evitar divergencias
que dificulten la libre circulación de datos personales. Pues bien, la citada obligación de
ubicar en territorio español las bases de datos es un obstáculo para el mercado interior
que carece de justificación. El Reglamento general de protección de datos permite a los
Estados miembros otorgar un nivel mayor de protección, pero no disminuirlo, y en ningún
caso es aceptable que se restrinja la propia existencia del mercado interior, como aquí
sucede.
b) Por otra parte, el art. 3.3 del real decreto-ley incorpora una nueva disposición
adicional sexta a la Ley 39/2015, de 1 de octubre, de procedimiento administrativo
común de las administraciones públicas (LPACAP), por la que se impide el uso de
sistemas de identificación basados en tecnologías de registro distribuido, en tanto no
sean objeto de regulación específica por el Estado, en el marco del Derecho de la Unión
Europea. La norma añade que, en todo caso, cualquiera que sea el sistema de
identificación basado en tecnología de registro distribuido que prevea la legislación,
deberá garantizar que la Administración General del Estado actúe como autoridad
intermedia, ejerciendo las funciones que corresponda para garantizar la seguridad
pública. Ambas limitaciones se consideran inconstitucionales, por desplazar totalmente la
competencia de la Generalitat prevista en los arts. 150 y 159 EAC.
La demanda invoca el dictamen del Consejo de Garantías Estatutarias, según el cual
el art. 3.3 supone un desapoderamiento preventivo del uso de este tipo de tecnología,
por parte de las administraciones públicas competentes, para definir sus propios
sistemas de identificación con los usuarios de sus servicios. El precepto impugnado se
aparta de la voluntad neutral y más aperturista del Reglamento (UE) 910/2014, del
cve: BOE-A-2023-14928
Verificable en https://www.boe.es
Núm. 150
